Gentoo Linux ATi FAQ

Ho un portatile. Il mio modello ATI "mobility" =C3=A8 supportato?</t= itle> <body> <p>Dovrebbe esserlo, ma potresti avere qualche problema a causa del PCI id = OEM che il chip potrebbe avere. Nella maggior parte dei casi dovrai editare a mano il = tuo file di configurazione o utilizzare l'utility <c>xorgconfig</c>. </p> </body> </section> </chapter> <chapter> <title>Installazione

Pacchetti

L'ebuild di xorg-x11 fornisce l'implementazione di X11 .
Per un kernel 2.6 i moduli DRI possono essere inclusi col kernel o essere forniti dall'ebuild x11-drm
Per un kernel 2.4 si deve usare l'ebuild x11-drm
L'ebuild ati-drivers fornisce i driver ATI per X e i moduli pe= r il kernel, sia per la serie 2.4 che per la 2.6.

Se si vuole usare il supporto agpgart interno agli ATI driver invece del supporto nel kernel, il driver agpgart e il driver specifico per il chi= pset (nella configurazione del kernel) devono essere compilati come moduli = o non inclusi.

Per installare solo i driver ed i moduli Rage 128 con x11

# VIDEO_CARDS=3D"rage128" emerge x11-drm
Per avere solo il supporto Radeon
(R100, R200, R250, R280 but not R300 yet)
# VIDEO_CARDS=3D"radeon" emerge x11-drm
Per installare i driver ATI closed source
(R200,R250, R280 and R300 only)
# emerge ati-drivers
Per installare solo X11 senza moduli del kernel
# emerge xorg-x11

Configurazione

=C3=88 consigliabile utilizzare xorgcfg o xorgconfig per g= enerare il file di configurazione xorg.conf. Alternativamente, si pu= =C3=B2 usare=20 l'opzione di autoconfigurazione di Xorg:

# X -configure

Per maggiori informazioni su come creare un file di configurazione xorg.= conf minimo, =C3=A8 possibile consultare la Desktop Configuration Guide.

Gli utilizzatori degli ati-drivers possono usare anche fglrxconfi= g se si sono installati gli ati-drivers. Gli utenti PPC dovrebbero usare l'utility di configurazione Xorgau= toconfig, emergendo l'ebuild Xorgautoconfig.

Altre risorse

=20

Maggiori informazioni su Gentoo Linux e i driver binari ATI Radeon possono = essere trovati su=20 Wedge Unofficial Gentoo ATI Radeon FAQ.

=20

--MP_h/466D027zTQha_AWpbVxLc Content-Type: text/xml; name=ldap-howto.xml Content-Transfer-Encoding: quoted-printable Content-Disposition: attachment; filename=ldap-howto.xml Gentoo Guide all'autenticazione OpenLDAP Benjamin Coles Sven Vermeulen Brandon Hale Benny Chuang =20 Enrico Morelli Team Italiano Questa guida introduce le basi di LDAP e mostra come configurare OpenLDAP allo scopo di autenticare un gruppo di computer Gentoo. 0.22 21 Ottobre 2005 Iniziare con OpenLDAP

Cos'=C3=A8 LDAP? =20

LDAP =C3=A8 l'acronimo di Lightweight Directory Access P= rotocol. Basato su X.500, comprende molte delle sue funzioni primari= e, ma non include molte delle funzioni esoteriche che X.500 po= ssiede. Ma cos'=C3=A8 questo X.500 e cosa centra con LDAP?

Nel concetto OSI, l'X.500 =C3=A8 un modello per i Directory= Service. Contiene le definizioni per i namespace ed i protocolli per la ricerca e l'aggiornamento delle directory. Comunque, X.500 =C3=A8 stato trovato essere eccessivo in mo= lte situazioni. Entriamo in LDAP. Come l'X.500, provvede un modello data/namespace per le directory ed anche un prot= ocollo. Comunque, LDAP =C3=A8 progettato per essere eseguito dirett= amente=20 al di sopra dello stack TCP/IP. Si pensi a LDAP come una versione pi=C3=B9 snella di X.500.

Cos'=C3=A8 una directory

Una directory =C3=A8 un database specializzato progettato per frequenti richieste ma infrequenti aggiornamenti. Al contrario di database generali, non contiene il supporto per transazioni o funzionalit=C3=A0 di roll-bac= k. Le directory sono facilmente replicabili per incrementarne la disponibilit=C3=A0 e l'affidabilit=C3=A0. Quando le dire= ctory vengono replicate, sono permesse inconsistenze temporanee finch=C3= =A9=20 non divengono eventualmente sincronizzate.

Come sono strutturate le informazioni

Tutte le informazioni all'interno di una directory sono strutturate gerarchicamente. Inoltre, se si vogliono inserire dati dentro una directory, la directory deve sapere come memorizzare questi dati all'interno di un albero. Si veda l'esempio di una finta compagnia e ad un albero stile Internet:

dc:         com
             |
dc:        genfic         (Organisation)
          /      \
ou:   people   servers    (Organisational Units)
      /    \     ..    =20
uid: ..   jhon            (OU-specific data)

Dato che non sono stati introdotti dati nel database in questo schema ascii, ogni nodo di questo albero deve essere definito. Per dare un nome ad ogni nodo, LDAP usa un naming scheme. Molte distribuzioni LDAP (incluso OpenLDAP) contengono gi=C3=A0 un certo numero di schemi predefiniti (generalmente approvati), come inetorgperson, uno schema frequentemente usato per definire utenti.

Utenti interessati sono incoraggiati a leggere la OpenLDAP Adm= in Guide.

Per cosa si usa LDAP =20

LDAP pu=C3=B2 essere usato per vari scopi. Questo documento si focalizza sulla gestione centralizzata degli utenti, mantenendo tutti gli account utente in una singola collocazione LDAP (il che non significa che sia alloggiato su un singolo server, LDAP supporta scalabilit=C3=A0 e ridondanza), sono comunque raggiungibili anche altri obiettivi usando LDA= P.

=20

Infrastruttura per chiavi pubbliche
Calendari condivisi
Rubriche condivise
Depositi per DHCP, DNS, ...
Direttive di classe per la configurazione di sistemi (tenendo traccia delle configurazioni di vari server)
...

=20

=20 Configurazione di OpenLDAP

Configurazione iniziale In questo documento si user=C3=A0 l'indirizzo genfic.com come esempio. Si dovr=C3=A0 naturalmente cambiarlo per adattarlo all= o scopo da raggiungere. Comunque, ci si assicuri che il nodo iniziale sia il top level= di un dominio ufficiale (net, com, cc, be, it, ...).

=20 Prima di tutto occorre installare tutti i componenti necessari sul proprio server:

# emerge openldap pam_ldap nss_ldap migrationtools
# chown ldap:ldap /var/lib/openldap-ldbm /var/lib/openldap-data /var/lib=
/openldap-slurp

Editare /etc/openldap/slapd.conf e aggiungere ci=C3=B2 che segue a destra di core.schema:

# Includere i data schemes necessari
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema

# Usare md5 per fare l'hash delle password
password-hash {md5}

# Definire le propriet=C3=A0 SSL e TLS  (opzionale)
TLSCertificateFile /etc/ssl/ldap.pem
TLSCertificateKeyFile /etc/openldap/ssl/ldap.pem
TLSCACertificateFile /etc/ssl/ldap.pem

Pi=C3=B9 avanti nel file...

database        ldbm
suffix          "dc=3Dgenfic,dc=3Dcom"
rootdn          "cn=3DManager,dc=3Dgenfic,dc=3Dcom"
rootpw          {MD5}Xr4ilOzQ4PCOq3aQ0qbuaQ=3D=3D
directory       /var/lib/openldap-ldbm
index           objectClass     eq


Si pu=C3=B2 avere una password cryptata come quella sopra, con slappasswd -=
h {Md5}

Editare il file di configurazione di LDAP:

# nano -w /etc/openldap/ldap.conf
Aggiungere...

BASE    dc=3Dgenfic, dc=3Dcom
URI     ldaps://auth.genfic.com:636/
TLS_REQCERT  allow

Si generi ora un certificato SSL per rendere sicura la directory. Occorre rispondere alle domande che si= ricevono nel miglior modo possibile. Alla richiesta del Common Na= me, si inserisca il nome che i client useranno quando contatteranno il serve= r. Di solito =C3=A8 il domainname completo del server (p.e. auth.genfic.com).

# cd /etc/ssl
# openssl req -config /etc/ssl/openssl.cnf -new -x509 -nodes -out \
ldap.pem -keyout /etc/openldap/ssl/ldap.pem -days 999999
 # chown ldap:ldap /etc/openldap/ssl/ldap.pem

=20 =20

Editare ora /etc/conf.d/slapd e aggiungere ci= =C3=B2 che segue, scommentando le linee esistenti:

OPTS=3D"-h 'ldaps:// ldapi://%2fvar%2frun%2fopenldap%2fslapd.sock'"

Far partire slapd:

# /etc/init.d/slapd start

=20

Si pu=C3=B2 fare un test col seguente comando:

# ldapsearch -D "cn=3DManager,dc=3Dgenfic,dc=3Dcom" -W

Se si riceve un errore, provare ad aggiungere -d 255 per incermentare la verbosit=C3=A0 e risolvere il problema.

Migrare dati esistenti

Migrare account utente

Si migreranno ora gli account utente. Aprire /usr/share/migrationtools/migrate_common.ph=20 ed editare ci=C3=B2 che segue:

$DEFAULT_BASE =3D "dc=3Dgenfic,dc=3Dcom";
$EXTENDED_SCHEMA =3D 1;
# Commentate queste linee a meno che non abbiate un mail sheme car=
icato
#$DEFAULT_MAIL_DOMAIN =3D "genfic.com";
#$DEFAULT_MAIL_HOST =3D "mail.genfic.com";

=20

Eseguire quindi gli script per la migrazione:

# export ETC_SHADOW=3D/etc/shadow
# cd /usr/share/migrationtools
# ./migrate_base.pl > /tmp/base.ldif
# ./migrate_group.pl /etc/group /tmp/group.ldif
# ./migrate_hosts.pl /etc/hosts /tmp/hosts.ldif
# ./migrate_passwd.pl /etc/passwd /tmp/passwd.ldif

Questi ultimi passi migrano i file specificati nei file ldif letti da LDAP. Aggiungere quindi i file alla directory:

# ldapadd -D "cn=3DManager,dc=3Dgentoo,dc=3Dorg" -W -f /tmp/base.ldif
# ldapadd -D "cn=3DManager,dc=3Dgentoo,dc=3Dorg" -W -f /tmp/group.ldif
# ldapadd -D "cn=3DManager,dc=3Dgentoo,dc=3Dorg" -W -f /tmp/passwd.ldif<=
/i>
# ldapadd -D "cn=3DManager,dc=3Dgentoo,dc=3Dorg" -W -f /tmp/hosts.ldif

Se si raggiunge un errore nei file ldif, si pu=C3=B2 riprendere da dove si =C3=A8 terminato usando ldapadd -c.
=20

Configurazione del client
Configurazione di PAM
Il primo passo =C3=A8 di configurare PAM per permettere l'autorizzazione LDAP. Installare sys-auth/pam_ldap per fornire il supporto dell'autorizzazione LDAP a PAM e=20 sys-auth/nss_ldap in modo tale che il sistema possa far fronte ai server LDAP per informazioni aggiuntive (usate da nsswitch.conf).
=20
# emerge pam_ldap nss_ldap
=20
Editare /etc/pam.d/system-auth in modo tale che assomigli= a quello che segue:

auth required pam_env.so auth sufficient pam_unix.so likeauth nullok shadow auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so=20 account requisite pam_unix.so account sufficient pam_localuser.so account required pam_ldap.so password required pam_cracklib.so retry=3D3 password sufficient pam_unix.so nullok use_authtok shadow md5 password sufficient pam_ldap.so use_authtok use_first_pass password required pam_deny.so session required pam_limits.so session required pam_unix.so session required pam_mkhomedir.so skel=3D/etc/skel/ umask=3D0066 session optional pam_ldap.so

Cambiare /etc/ldap.conf in modo da avere:

#host 127.0.0.1 #base dc=3Dpadl,dc=3Dcom ssl start_tls ssl on suffix "dc=3Dgenfic,dc=3Dcom" #rootbinddn uid=3Droot,ou=3DPeople,dc=3Dgenfic,dc=3Dcom uri ldaps://auth.genfic.com/ pam_password exop ldap_version 3 pam_filter objectclass=3DposixAccount pam_login_attribute uid pam_member_attribute memberuid nss_base_passwd ou=3DPeople,dc=3Dgenfic,dc=3Dcom nss_base_shadow ou=3DPeople,dc=3Dgenfic,dc=3Dcom nss_base_group ou=3DGroup,dc=3Dgenfic,dc=3Dcom nss_base_hosts ou=3DHosts,dc=3Dgenfic,dc=3Dcom scope one

Copiare quindi il file ldap.conf dal server ai client in modo = che siano consapevoli dell'ambiente LDAP:
=20
(Sostituire a ldap-server il nome del proprio LDAP ) # scp ldap-server:/etc/openldap/ldap.conf /etc/openldap
=20
Si configurino infine i propri client in modo che controllino il LDAP per gli account di sistema:

passwd: files ldap group: files ldap shadow: files ldap

Per testare le modifiche, digitare:

# getent passwd|grep 0:0 Si dovrebbero ricevere due righe di risposta: root:x:0:0:root:/root:/bin/bash=20 root:x:0:0:root:/root:/bin/bash

Se si nota che una delle linee poste nel proprio /etc/ldap.conf era commentata (la linea rootbinddn), non c'=C3=A8 da preoccuparsi,= non ce n'=C3=A8 bisogno a meno che non si voglia cambiare la=20 password degli utenti come superuser. In questo caso c'=C3= =A8 bisogno di mettere in chiaro la password di root in /etc/ldap.secret. Questo =C3=A8=20 PERICOLOSO e si dovrebbe cambiare l'accesso del file in 600. Quello che faccio io =C3=A8 di lasciare qu= esto file in bianco e quando ho bisogno di cambiare la password a qualcuno che =C3=A8 sia in ldap che in /etc/passwd<= /path>, metto la password di root nel file suddetto per 10 secondi = mentre cambio la password dell'utente e quindi la rimuovo subito dopo che ho terminato.

=20 Configurazioni per LDAP Server Security
Permessi OpenLDAP
=20 Se si d=C3=A0 un'occhiata a /etc/openldap/slapd.conf<= /path> si pu=C3=B2 notare che =C3=A8 possibile specificare le ACL = (o permessi) di quali dati gli utenti possono leggere e/o scrivere:

access to attrs=3D"userPassword" by dn=3D"uid=3Droot,ou=3Dpeople,dc=3Dgenfic,dc=3Dcom" write by dn=3D"uid=3DJohn, ou=3DPeople,dc=3Dgenfic,dc=3Dcom" write by anonymous auth by self write by * none access to * by dn=3D"uid=3Droot,ou=3DPeople,dc=3Dgenfic,dc=3Dcom" write

Questo d=C3=A0 l'accesso a tutto ci=C3=B2 che un utente pu= =C3=B2 modificare.=20 Se questa =C3=A8 un'informazione proprietaria, se ne ha l'a= ccesso in scrittura; se l'informazione =C3=A8 di un altro utente, la si pu=C3=B2 leggere; utenti a= nonimi devono inviare login e password per avere l'accesso. Ci sono quattro livelli, partendo dal pi=C3=B9 basso al pi=C3=B9 al= to: auth search read write.

La prossima ACL =C3=A8 leggermente pi=C3=B9 sicura, blocca = infatti ad un utente normale la lettura delle password shadow di altri utenti:

access to dn=3D".*,dc=3Dgenfic,dc=3Dcom" attr=3D"userPassword" by dn=3D"uid=3Droot,ou=3Dpeople,dc=3Dgenfic,dc=3Dcom" write by dn=3D"uid=3DJohn, ou=3DPeople,dc=3Dgenfic,dc=3Dcom" write by anonymous auth by self write by * search =20 access to * by dn=3D"uid=3Droot,ou=3DPeople,dc=3Dgenfic,dc=3Dcom" write by * search

Questo esempio d=C3=A0 a root e John l'accesso in lettura/scrittura/ricerca in tutto l'albero sotto dc=3Dgenfic,dc=3Dcom. Questo permette agli utenti di cambiare le proprie userPassword. Cos=C3=AC per come finisce la dichiarazione del filtro ognuno ha la possibilit=C3=A0=20 di ricercare ma non di leggere i risultati di tale ricerca. Si possono avere acl multiple ma le regole vengono processa= te dal basso verso l'alto, cos=C3=AC quelle iniziali dovrebber= o essere quelle pi=C3=B9 restrittive.

Lavorare con OpenLDAP
Manutenzione delle directory
Si pu=C3=B2 iniziare ad usare le directory per autenticare = gli utenti in apache/proftpd/qmail/samba. Si possono amministrare con = Webmin, che provvede un'interfaccia veramente facile. Si pu=C3=B2 a= nche usare gq o directory_administrator.

Riconoscimenti
=20
Si ringrazia Matt Heler per averci prestato il suo computer per gli scopi di questa guida. Grazie anche agli amici in #ldap @ irc.freenode.net

--MP_h/466D027zTQha_AWpbVxLc Content-Type: text/xml; name=hb-portage-diverttree.xml Content-Transfer-Encoding: quoted-printable Content-Disposition: attachment; filename=hb-portage-diverttree.xml 1.4 25 Novembre 2005
Usare un Portage Tree Subset Escludere pacchetti e/o categorie
Si possono selettivamente aggiornare certe categorie/pacchetti ed ignorarne altre/i facendo in modo che rsync escluda categorie/pacchetti durante la fase di emerge --sync.

Occorre definire il nome del file che contiene i pacchetti o le categorie d= a escludere nella variabile RSYNC_EXCLUDEFROM in /etc/make.conf.

=09 RSYNC_EXCLUDEFROM=3D/etc/portage/rsync_excludes=09
=09 =09
=09 games-*/*=09

Si noti comunque che questo pu=C3=B2 portare ad avere problemi di dipendenz= e nuove, aggiornando pacchetti che potrebbero dipendere da pacchetti nuovi ma esclus= i.

Aggiungere ebuild non ufficiali Definizione di una propria directory Portage
Il Portage pu=C3=B2 usare ebuild che non sono disponibili attraverso l'albe= ro ufficiale. Per far questo, si pu=C3=B2 creare una nuova directory (per e= sempio /usr/local/portage) entro la quale memorizzare gli ebuild di t= erze parti usando la stessa struttura delle directory dell'albero del Porta= ge.

Si definisce quindi la variabile PORTDIR_OVERLAY in /etc/make.conf affinch=C3=A9 punti alla directory creata precedentemente. Usando Port= age dopo queste modifiche, si potranno usare questi nuovi ebuild senza che vengano rimossi o sovrascritti da un nuovo emerge --sync.
=09 Lavorare con diversi overlay=09 =09 =09
=09 Per gli utenti che sviluppano su diversi strati, testano pacchetti prima di porli nell'albero di Portage o vogliono semplicemente usare ebuild= non ufficiali di varie sorgenti, il pacchetto=20 app-portage/gentoolkit-dev fornisce=09 gensync, uno strumento che aiuta a mantenere aggiornati gli overlay repository.
=09 =09
=09 Con gensync si possono aggiornate tutti i repository in una = volta sola o selezionare solo alcuni di essi. Ogni repository dovrebbe aver= e un=20 file .syncsource nella directory di configurazione /etc/ge= nsync/ che contiene l'ubicazione del repository, il nome, l'ID, ecc.
=09 =09
=09 Si supponga di avere due repository aggiuntivi chiamati java ( per lo sviluppo di ebuild java) e entapps (per le applicaz= ioni sviluppate per la propria azienda), si potranno aggiornare nel seguente mod= o:
=09 =09
=09 # gensync java entapps=09
=09 =09 =09

Software non mantenuto dal Portage Usare il Portage con software proprietario
In alcuni casi si pu=C3=B2 voler configurare, installare e manutenere softw= are proprietario senza dover automatizzare il processo del Portage anche se Portage pu=C3=B2 provvedere il titolo software. Casi conosciuti sono sorgen= ti del kernel e driver nvidia. Si pu=C3=B2 configurare Portage in modo tale ch= e=20 sappia che certi pacchetti sono stati installati manualmente nel sistema. Questo processo =C3=A8 chiamato injecting ed =C3=A8 supportato dal P= ortage attraverso il file /etc/portage/profile/package.provided.

Per esempio, per informare il Portage che=20 vanilla-sources-2.6.11.6 =C3=A8 stato installato manualmente, aggiun= gere la seguente linea a /etc/portage/profile/package.provided:

vanilla-sources-2.6.11.6

--MP_h/466D027zTQha_AWpbVxLc-- -- gentoo-docs-it@gentoo.org mailing list